As festas de S. João deixaram um sabor amargo na boca a António Franco e à mulher naquele Verão de 2011. Cliente do BPI há anos, o arquitecto de Matosinhos viu voarem-lhe da conta bancária no espaço de três dias nada menos de 8.780 euros. Vítima de pirataria informática, teve de pedir dinheiro emprestado a um familiar para fazer face às necessidades quotidianas, uma vez que o banco se recusou a reembolsar o casal do dinheiro, que correspondia ao salário da mulher, mais subsídio de férias, e ainda ao reembolso do IRS, que lhes havia sido depositado pelas finanças. 

Quando quis carregar o telemóvel da filha descobriu que lhe sobravam nove euros e 15 cêntimos na conta. “Nunca mais usei o sistema de homebanking”, confessa. As boas notícias chegaram-lhe há poucos dias: seguindo o que parece ser uma tendência da Justiça portuguesa, o tribunal de Matosinhos condenou o BPI não só a devolver-lhe o dinheiro roubado online como a entregar-lhe ainda uma indemnização de quatro mil euros, por danos não patrimoniais.

“Os riscos pela utilização normal do sistema correm por conta do prestador de serviços, o que não deixa de ser uma obrigação perfeitamente normal —  já que é o banco que vai retirar os maiores benefícios económicos do seu bom funcionamento”, escreve a juíza na sentença. O assunto não é, porém, pacífico, e tem vindo a dividir os magistrados encarregues da sua análise nos tribunais: devem os prejuízos deste tipo de crime ser assacados apenas às instituições bancárias, ou pode um comportamento negligente dos seus clientes, em matéria de manuseio das contas online, desresponsabilizá-las pelo sucedido?

António Franco tinha acabado de aderir ao sistema que lhe permitia fazer operações bancárias via  telemóvel quando tudo sucedeu. Foi alvo daquilo que os especialistas designam por pharming, e que é a técnica mais perigosa e sofisticada das fraudes usadas para aceder ao dinheiro alheio. No decurso do processo de adesão ao serviço BPI Net SMS terá entrado numa página falsa idêntica à original, na qual lhe foi pedido o número de telemóvel e fornecido um link para descarregar no aparelho. A infecção por malware pode ter ocorrido nesta altura. Certo é que foi a adesão ao serviço que lhe fez voar o dinheiro para outra conta do BPI titulada por terceiros e desta última para duas contas particulares na Rússia e na Ucrânia. Apresentou queixa na PJ, mas o processo acabou arquivado.

Critérios miserabilistas

Melhor sorte teve uma instituição particular de solidariedade social de Guimarães alvo também de pirataria. Após participarem o sucedido às autoridades, os seus responsáveis conseguiram, logo a seguir, reaver metade dos perto de 20 mil euros que lhes tinham sido sacados indevidamente.

O caso passou-se no ano passado e a Caixa Geral de Depósitos também se desresponsabilizou do sucedido, fazendo com que a organização em causa se visse impossibilitada de pagar salários aos seus funcionários. “A falta dos pagamentos atempada passou a ser comentada pelos colaboradores e público em geral, colocando reservas sobre a seriedade da instituição, que assim viu o seu prestígio afectado publicamente”, descreve o acórdão da Relação de Lisboa que obrigou o banco a reembolsar a cliente e ainda indemnizá-la em 2500 euros.

O montante da indemnização levou em conta o facto de se tratar “de uma instituição de crédito economicamente pujante”, razão pela qual não se justificariam “critérios miserabilistas, sem qualquer impacto na conduta da ré”.
Ao condenarem os bancos, os tribunais têm-se estribado no argumento de que não são exigíveis ao comum cidadão que utiliza os serviços online especiais competências informáticas — razão pela qual este tipo de problemas será sobretudo causado pelas deficiências inerentes aos sistemas bancários.

Foi nesse sentido que os juízes do Supremo Tribunal de Justiça já se pronunciaram algumas vezes.  Os bancos, esses invocam negligência dos depositantes. “Em duas dezenas de anos, nunca foi pelo banco encontrado um caso em que ficasse demonstrada uma quebra de segurança que não fosse resultado do incumprimento das regras aconselhadas e constantemente comunicadas aos cliente”, assegura o BPI, que diz não ter ainda decidido se irá recorrer no caso do arquitecto de Matosinhos. “Além de muito pouco frequentes, todos os casos estão relacionados com a entrega pelos clientes a terceiros dos seus códigos de acesso, em desrespeito das recomendações feitas pelo banco, na própria página do serviço”, acrescenta a instituição.

De facto, a página de serviços online deste banco encontra-se pejada de avisos de segurança. E para a autora de um artigo publicado em 2015 na Revista Electrónica de Direito da Faculdade de Direito do Porto, Carolina Barreira, esta pode ser uma das poucas escapatórias das instituições bancárias. “É manifesto que estão cientes da vulnerabilidade do sistema informático que sustenta a banca electrónica e da responsabilidade que dela pode advir em caso de fraude”, escreve. Mas “se se provar que o banco, na altura dos acontecimentos, divulgou mensagens a alertar para os perigos inerentes ao homebanking, dando nomeadamente conhecimento da existência de esquemas fraudulentos (...), é legítimo considerar que o cliente incumpriu com negligência grave os seus deveres”.

Notando que os tribunais tendem a decidir este tipo de litígios a favor dos depositantes, a advogada chama a atenção para o facto de uma directiva europeia que, para proteger os consumidores, estabelece um limite máximo pelo qual podem ser responsabilizados em caso de prejuízos resultantes de operações de pagamento não autorizadas. Esse plafond foi fixado no ano passado em 50 euros. A directiva exceptua, porém, os casos em que os depositantes são negligentes de forma grosseira.

Máquina “perigosa”

“Os riscos não podem correr senão pelo lado do banco”, observa o director do Centro de Investigação Jurídica do Ciberespaço, Eduardo Vera-Cruz Pinto, que invoca a desproporção de meios entre clientes particulares e bancos, a par do lucro resultante desta actividade — que implica menos gastos com pessoal do que o atendimento presencial. “Os contratos com 50 folhas em letras miudinhas não eximem os bancos de responsabilidades”, diz. Algumas dessas cláusulas têm, de resto, vindo a ser declaradas nulas pelos tribunais, por fragilizarem a posição dos consumidores. Já uma professora da Faculdade de Direito do Porto compara o homebanking a uma “máquina industrial complexa e perigosa”: o fabricante não se pode limitar a entregá-la ao cliente, achando que a sua missão termina aí.

Os conselhos da DECO

• Nunca dê a totalidade das coordenadas do cartão-matriz
• Informe-se dos riscos que corre quando adere ao homebanking
• Use sempre antivírus e firewall no computador
• Não carregue nos links dos bancos que lhe são enviados por e-mail; prefira abrir uma nova janela com o endereço que lhe foi enviado
• Esteja atento à linguagem usada pelas supostas entidades bancárias que se lhe dirigem via correio electrónico: uma linguagem menos formal ou menos cuidada poderá ser indício de uma proveniência suspeita